BIO 2.0

Wat is BIO 2.0?

De BIO 2.0 (Baseline Informatiebeveiliging Overheid) is de vernieuwde versie van de verplichte standaard voor informatiebeveiliging bij Nederlandse overheidsorganisaties. Het is gebaseerd op ISO 27001:2022/27002:2022 en gebruikt de BIV-classificatie (Beschikbaarheid, Integriteit, Vertrouwelijkheid) voor risicobeoordeling.

Belangrijk: BIO 2.0 vervangt de oude BBN-niveaus (Basis Beveiligingsniveau) door de BIV-classificatie. Organisaties moeten hun classificaties herzien.

Geldt voor

Rijksoverheid

Gemeenten

Provincies

Waterschappen

Onderwijs

Zorg

BIV-classificatie

BIO 2.0 classificeert informatie op drie dimensies: Beschikbaarheid, Integriteit en Vertrouwelijkheid

Beschikbaarheid

In welke mate moet informatie beschikbaar zijn?

Laag Uitval tot 1 week acceptabel

Midden Uitval tot 1 dag acceptabel

Hoog Altijd beschikbaar

Integriteit

Hoe belangrijk is de juistheid en volledigheid van informatie?

Laag Fouten hebben beperkte impact

Midden Fouten zijn merkbaar

Hoog Fouten zijn onacceptabel

Vertrouwelijkheid

Wie mag toegang hebben tot de informatie?

Openbaar Vrij toegankelijk

Intern Alleen medewerkers

Vertrouwelijk Beperkte groep

Geheim Staatsgeheim

Samenhang met GEB (DPIA)

Bij het uitvoeren van een BIO-analyse is het belangrijk om ook een Gegevensbeschermingseffectbeoordeling (GEB/DPIA) uit te voeren wanneer er persoonsgegevens worden verwerkt. De BIV-classificatie en de GEB vullen elkaar aan.

Let op: Een GEB is verplicht bij verwerkingen met een hoog risico voor betrokkenen (AVG Art. 35). ComplyGuide helpt u bepalen wanneer een GEB nodig is.

Wanneer is een GEB nodig?

Grootschalige verwerking van bijzondere persoonsgegevens
Systematische monitoring van openbare ruimtes
Automatische besluitvorming met rechtsgevolgen
Innovatieve technologieen of nieuwe verwerkingen
Verwerking van gegevens van kwetsbare personen

Start GEB Pre-scan

BIO 2.0 Structuur

ISO 27001:2022

BIO 2.0 is volledig aligned met de nieuwe ISO 27001:2022 en 27002:2022 standaarden. De 93 controls zijn overgenomen.

Overheidslagen

Specifieke aanvullingen per overheidslaag: Rijk, gemeenten, provincies, waterschappen. Elke laag heeft eigen accenten.

Risicogebaseerd

De BIV-classificatie bepaalt welke maatregelen passend zijn. Geen one-size-fits-all meer, maar maatwerk per systeem.

Wat biedt ComplyGuide voor BIO 2.0?

BIO 2.0 Controls Checklist

Volledige checklist van alle BIO 2.0 controls (gebaseerd op ISO 27001:2022) met BIV-classificatie en implementatiestatus.

GEB/DPIA Wizard

Bepaal of een GEB nodig is en doorloop het volledige GEB-proces stap voor stap. Inclusief pre-scan en volledige beoordeling.

BIV-Classificatie Tool

Classificeer uw systemen en informatie op Beschikbaarheid, Integriteit en Vertrouwelijkheid. Automatische aanbevelingen voor passende maatregelen.

ISO 27001 Mapping

Automatische mapping tussen BIO 2.0 en ISO 27001:2022 voor efficiente multi-framework compliance.

Veelgestelde vragen over BIO 2.0

Wat is het verschil tussen BIO 1.0 en BIO 2.0?

BIO 2.0 is gebaseerd op ISO 27001:2022 (in plaats van 2013), vervangt BBN-niveaus door BIV-classificatie, en is meer risicogebaseerd. De oude BBN1/BBN2/BBN3 indeling is vervangen door een flexibelere aanpak per systeem.

Moet ik mijn BBN-classificaties omzetten naar BIV?

Ja, organisaties moeten hun bestaande BBN-classificaties herzien en omzetten naar de nieuwe BIV-systematiek. ComplyGuide biedt een migratietool om dit proces te vereenvoudigen.

Wanneer moet ik een GEB uitvoeren?

Een GEB is verplicht bij verwerkingen met een hoog risico: grootschalige verwerking van bijzondere persoonsgegevens, systematische monitoring, geautomatiseerde besluitvorming, of verwerking van gegevens van kwetsbare personen. ComplyGuide helpt u met een pre-scan om dit te bepalen.